Aws on hdknr blog

CloudFront → ALB → Django の HTTPS 判定

Mon, 06 Apr 2026 00:00:00 +0000

ALB が X-Forwarded-Proto を上書きする問題の解決ガイド

Terraform IaC ベストプラクティス

Mon, 06 Apr 2026 00:00:00 +0000

大規模 Terraform プロジェクトの設計・運用：モジュール化・ファイル分割・state 管理

Pay2Key の Linux ランサムウェアが x64/ARM64 サーバーを標的に — 防御機構を無効化する高度な手口

Mon, 30 Mar 2026 00:00:00 +0000

イラン系攻撃グループ Pay2Key の Linux ランサムウェア新亜種 Pay2Key.I2P の技術分析。SELinux/AppArmor 無効化、ChaCha20 暗号化、I2P 匿名通信の手口と対策を解説。

AWS DMS Serverless の OOM 障害と監視の盲点 — 検知漏れの根本原因と対策

Thu, 26 Mar 2026 00:00:00 +0000

AWS DMS Serverless Replication（CDC モード）が OOM（Out of Memory）で failed 状態になり、自動再起動の仕組みが検知できずに長期間停止していた問題について、根本原因と対策をまとめます。

構成

RDS (MySQL) → DMS Serverless (CDC) → S3 (Parquet)

DMS Serverless Replication で全テーブルの CDC（Change Data Capture）を実行
S3 に Parquet 形式で日付パーティション付きで出力
EventBridge + Lambda で DMS 停止を検知し自動再起動する仕組みを構築済み

発生した事象

症状

prod 環境の DMS Serverless Replication が failed 状態で停止
エラーメッセージ: Replication out of memory. Stop Reason FATAL_ERROR Error Level FATAL
CDC が完全に停止し、S3 へのデータ同期が止まっていた

発覚の経緯

手動確認で発見。自動再起動 Lambda の最終実行は約2ヶ月前で、それ以降は検知されていなかった。

根本原因

原因 1: EventBridge ルールのイベントパターンが不完全

自動再起動用の EventBridge ルールが REPLICATION_TASK_STOPPED のみを監視していた。

Agent Plugins for AWS: Claude Code から AWS アーキテクチャ設計・デプロイまで一気通貫

Wed, 25 Mar 2026 00:00:00 +0000

AWS が「Agent Plugins for AWS」を公開しました。AI コーディングエージェント（Claude Code や Cursor など）に、AWS のアーキテクチャ設計からデプロイ実行までの能力を組み込むオープンソースのプラグインライブラリです。

Agent Plugins for AWS とは

Agent Plugins for AWS は、AWS Labs が開発・公開したオープンソースプロジェクトです。コスト見積もり、Infrastructure as Code（IaC）の生成、デプロイといった AWS 固有のスキルセットを AI エージェントに追加できます。

プラグインは以下の要素で構成されています:

Agent Skills: 複雑なタスクをステップバイステップで実行するワークフロー。デプロイやアーキテクチャ設計のベストプラクティスを手順として組み込んだもの
MCP サーバー: 外部サービス、ドキュメント、料金データなどへのリアルタイム接続
Hooks: 開発者のアクションに対するバリデーションやガードレール

deploy-on-aws プラグイン

現時点で提供されている主要プラグインが deploy-on-aws です。「deploy to AWS」と指示するだけで、以下の 5 ステップを自動実行します:

コードベースの分析: アプリケーションの構成・依存関係を解析
AWS サービスの推奨: 最適な AWS サービスを理由付きで提案
コスト見積もり: 推奨構成の月額コストを試算
IaC の生成: CDK または CloudFormation でインフラコードを生成
デプロイ実行: ユーザーの確認後にデプロイ

AWS によると、従来は数時間かかっていたデプロイフローが約 10 分で完了するとのことです。

Claude Code へのインストール

Claude Code では、プラグインマーケットプレイス経由でインストールします:

開発サーバーの Let's Encrypt 証明書が切れたので自動更新できるようにした

Tue, 17 Mar 2026 00:00:00 +0000

きっかけ

ある日、開発環境の Web アプリにアクセスしたら証明書の期限切れ警告が表示された。

確認してみると、ワイルドカード証明書 (*.dev.example.com) がちょうどその日に期限切れになっていた。さらにもう1つ古い証明書も半年前に失効済み。

Certificate Name: dev.example.com-0001
Domains: *.dev.example.com
Expiry Date: 2026-03-17 (INVALID: EXPIRED)
Certificate Name: dev.example.com
Domains: *.dev.example.com dev.example.com
Expiry Date: 2025-09-17 (INVALID: EXPIRED)

原因

certbot の renewal 設定を確認したところ、問題が見えた。

1
2
3


[renewalparams]
authenticator = manual
pref_challs = dns-01,

authenticator が manual になっていた。

ワイルドカード証明書は DNS-01 チャレンジが必須だが、manual モードでは certbot が更新のたびに「この TXT レコードを DNS に追加してください」と対話的に聞いてくる。つまり 自動更新が不可能 な状態だった。

systemd timer (certbot.timer) は1日2回動いていたが、manual モードの証明書は自動更新をスキップされるため、期限切れまで放置されていた。

対応方針

2つの選択肢を検討した。

.env を AI に安心して触らせる — 1Password CLI ラッパー「opx」とプロセススコープ認証の設計

Wed, 04 Mar 2026 00:00:00 +0000

.env を AI に安心して触らせる — 1Password CLI ラッパー「opx」とプロセススコープ認証の設計

@suin 氏のポストが、AI エージェント時代の .env 管理問題に対する実践的な解決策として、自作の 1Password CLI ラッパー「opx」を公開しています。

.envをAIに安心して触らせたくて、こんなの作った AIエージェントなしではもう開発が成り立たないほど必須になってきています。権限設定がいろいろできるにせよ、本質的にAIエージェントにはプロジェクトの全ファイルを触りうる力を与えているわけで、気になるのがシークレットなどの機密情報です。

Claude Code や Cursor などの AI コーディングエージェントは、開発者と同じ権限でファイルシステムにアクセスします。.env にアクセストークンや AWS キーを平文で書いていれば、エージェントはそれを読めてしまいます。この構造的な問題に対し、「.env に機密情報を一切書かない」というアプローチで解決するのが opx です。

問題の構造 — AI エージェントが .env を読める

なぜ危険なのか

AI コーディングエージェントは通常のプロセスとして動作し、シェル環境を継承します。

開発者のシェル
└── AI エージェント（Claude Code, Cursor 等）
├── ファイルシステムへのフルアクセス
├── .env ファイルの読み取り
├── 環境変数の参照
└── Bash コマンドの実行

.zshrc に AWS_SECRET_ACCESS_KEY を書いていれば、エージェントもそれを持っています。プロンプトインジェクション攻撃を受けた場合、エージェントが意図せず機密情報を外部に送信するリスクがあります。

実際に報告されている脆弱性

2025年末に公開された「IDEsaster」と呼ばれる調査では、Cursor、Windsurf、GitHub Copilot、Cline など30以上の AI IDE に脆弱性が発見されています。OpenAI Codex CLI では .env ファイルを経由した任意コマンド実行の脆弱性（CVE-2025-61260）も報告されました。

.envの代わりにaws-vaultで安全に環境変数を与える — Claude Code時代のAWS認証情報管理

Tue, 03 Mar 2026 00:00:00 +0000

.env の代わりに aws-vault で安全に環境変数を与える — Claude Code 時代の AWS 認証情報管理

AI エージェントがローカルファイルを直接読み書きする時代、.env に平文で認証情報を置くリスクが顕在化しています。前回の記事では、この問題の背景と複数のシークレット管理ツールを紹介しました。

本記事では、AWS を利用しているチームに向けて、aws-vault を使って .env と ~/.aws/credentials を完全に排除する具体的な手順を解説します。

aws-vault が解決する問題

~/.aws/credentials の平文問題

AWS CLI を使う開発者の多くは、~/.aws/credentials にアクセスキーを平文で保存しています。

1
2
3
4


# ~/.aws/credentials（平文で保存されている）
[default]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

このファイルには2つのリスクがあります。

Claude Code が読み取れる: AI エージェントがファイルシステムを探索する際、~/.aws/credentials のアクセスキーが LLM のコンテキストに載る可能性がある
長期的な認証情報が漏洩する: アクセスキーには有効期限がなく、漏洩した場合は手動でローテーションするまで悪用され続ける

aws-vault のアプローチ

aws-vault は以下の2段階で問題を解決します。

暗号化保存: アクセスキーを ~/.aws/credentials ではなく、OS のキーストア（macOS Keychain 等）に暗号化して保存する
一時認証の生成: AWS STS（Security Token Service）を使って、1時間で失効する一時認証情報を生成し、子プロセスに注入する

[従来]
~/.aws/credentials（平文） → AWS CLI / boto3 が直接読み取り
→ 長期キーがメモリに残る
[aws-vault]
macOS Keychain（暗号化） → aws-vault が STS で一時認証を生成
→ 子プロセスに環境変数として注入
→ 1時間で失効

セットアップ

インストール

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# macOS（推奨）
brew install --cask aws-vault

# macOS（Homebrew formula 版）
brew install aws-vault

# Linux
brew install aws-vault

# Windows
choco install aws-vault
# または
scoop install aws-vault

macOS では --cask 版が推奨されています。コード署名されているため、Keychain アクセス時の追加のパスワードプロンプトが少なくなります。

Amazon Bedrock が OpenAI API 互換を提供開始 --- Mantle 推論エンジンが「モデルの交換可能性」を実現する

Tue, 03 Mar 2026 00:00:00 +0000

Amazon Bedrock が OpenAI API 互換を提供開始 — Mantle 推論エンジンが「モデルの交換可能性」を実現する

@publickey が X で投稿した、Amazon Bedrock の OpenAI API 互換機能に関するブログ記事が話題を呼んでいます。

ブログ書きました：「Amazon Bedrock」でOpenAI API互換を提供開始。オープンウェイトな基盤モデルでOpenAI SDKが利用可能に

Publickey の元記事によると、AWS は Amazon Bedrock の Mantle 推論エンジンで OpenAI API 互換機能の提供を開始しました。これにより、開発者は使い慣れた OpenAI SDK をそのまま Amazon Bedrock 上で利用できるようになります。

この動きは単なる「API の互換性」にとどまらず、AI 業界の構造を変える可能性を持っています。本記事では、Mantle 推論エンジンの技術的な仕組みと、この互換性がもたらす業界への影響を掘り下げます。

Mantle 推論エンジンとは何か

分散推論の基盤

Mantle は、Amazon Bedrock のために構築された大規模モデル向け分散推論エンジンです。単なる API ラッパーではなく、以下の機能を内包する本格的な推論インフラです。

機能	説明
サーバーレス推論	容量管理を自動化し、デフォルトのクォータを引き上げ
OpenAI API 互換	Chat Completions API / Responses API をネイティブサポート
ステートフル会話管理	会話履歴をサーバー側で保持（Responses API）
非同期推論	長時間実行ワークロードのバックグラウンド処理
ストリーミング	リアルタイムのレスポンス生成に対応
ゼロオペレーターアクセス	NitroTPM による暗号学的な実行環境保証

セキュリティ設計

Mantle のセキュリティ設計は注目に値します。EC2 インスタンス証明（Instance Attestation）機能を活用し、顧客データ処理のための硬化された不変のコンピュート環境を構成しています。Nitro Trusted Platform Module（NitroTPM）による暗号署名付き証明測定で、モデルの重みと推論オペレーションを保護します。

dotenvx・lkr・aws-vault・1Password CLI — .env 代替ツール4種の選び方とベストプラクティス

Tue, 03 Mar 2026 00:00:00 +0000

dotenvx・lkr・aws-vault・1Password CLI — .env 代替ツール4種の選び方とベストプラクティス

AI エージェントが .env ファイルを読み取るリスクが現実のものとなり、平文の .env を代替するツールが続々と登場しています。本シリーズでは aws-vault、lkr、dotenvx + 1Password CLI をそれぞれ解説してきました。

しかし「結局どれを使えばいいのか」という疑問が残ります。本記事では、4つのツールの守備範囲・強み・限界を比較し、チーム構成や開発環境に応じた選択指針を提示します。

4ツールの守備範囲

最も重要な違いは管理対象の範囲です。

ツール	管理対象	DB接続	SaaS キー	LLM API キー	AWS 認証
aws-vault	AWS 認証情報のみ	-	-	-	対応
lkr	LLM API キー（8社）	-	-	対応	-
dotenvx	.env に書ける全て	対応	対応	対応	対応
1Password CLI	全種類	対応	対応	対応	対応

aws-vault と lkr は特定領域に特化したツールです。.env に含まれる全てのシークレットをカバーするには、dotenvx か 1Password CLI が必要になります。

各ツールの強みと弱み

aws-vault

1

$ aws-vault exec dev -- python manage.py runserver

強み	弱み
STS 一時認証（15分〜で自動失効）	AWS 認証情報しか管理できない
AssumeRole による権限分離	macOS 限定（Keychain 依存）
MFA 統合	チーム共有不可
漏洩しても短時間で無効化される

最大の強みは STS による一時認証です。他のどのツールも「漏洩しても自動で失効する」認証情報は提供できません。aws-vault が発行する一時認証情報は、仮に AI エージェントに読まれても最短15分で失効します。

生成AIで情報漏えいが増える本当の理由 — 「検索者がAIになった」時代の脅威モデルと3層防御

Mon, 02 Mar 2026 00:00:00 +0000

name: security-check description: Claude Code 利用における情報漏えいリスクをチェックする。 Auto Memory や CLAUDE.md への機密混入、.env の gitignore 漏れ、機密ファイルの存在などを検査する。

Claude Code の利用に関する情報漏えいリスクをチェックしてください。

チェック対象

以下の 4 カテゴリを順番に検査する。

1. Auto Memory の機密スキャン

~/.claude/ 配下の memory ファイルを検査する:

以下のパスを Glob で列挙する:
- ~/.claude/projects/*/memory/*.md
- ~/.claude/projects/*/memory/**/*.md
各ファイルを Read で読み込み、以下のパターンを Grep で検出する:
- API キー・トークン: (?i)(api[_-]?key|secret[_-]?key|access[_-]?token|bearer)\s*[:=]\s*\S+
- パスワード: (?i)(password|passwd|pwd)\s*[:=]\s*\S+
- AWS 認証情報: (?i)(AKIA[0-9A-Z]{16}|aws[_-]?secret)
- 接続文字列: (?i)(mysql|postgres|redis|mongodb):\/\/\S+
- 個人情報パターン: メールアドレス、電話番号、マイナンバーらしき数字列
- 金額・契約情報: (?i)(契約金額|単価|請求|売上)\s*[:：]\s*[\d,￥¥$]+
- 顧客 ID の具体値: (?i)(顧客id|customer[_-]?id|ユーザーid|user[_-]?id)\s*[:=：]\s*\d+
検出があれば、ファイルパス・行番号・該当箇所を報告する

2. CLAUDE.md の機密スキャン

プロジェクトの CLAUDE.md およびグローバルの ~/.claude/CLAUDE.md を検査する:

両ファイルを Read で読み込む
チェック 1 と同じパターンで Grep 検査する
加えて、以下も確認する:
- URL にトークンやキーが含まれていないか（?token=, ?key=, ?secret=）
- 内部 IP アドレスやホスト名が含まれていないか
CLAUDE.md はリポジトリにコミットされるため、検出時は即時対応を推奨として強調する

3. 機密ファイルの gitignore チェック

プロジェクトルートで以下を確認する:

Agent Plugins for AWS — AI コーディングエージェントに AWS の専門知識を装着する

Fri, 27 Feb 2026 00:00:00 +0000

Agent Plugins for AWS — AI コーディングエージェントに AWS の専門知識を装着する

紹介ポスト: moritalous 公式ブログ: Introducing Agent Plugins for AWS | AWS Developer Tools Blog リポジトリ: awslabs/agent-plugins

はじめに

2026年2月、AWS は Agent Plugins for AWS をオープンソースで公開した。Claude Code や Cursor といった AI コーディングエージェントに AWS の専門知識を「スキル」として装着するプラグインライブラリである。

これは単なる CLI ラッパーではない。AI エージェントがアーキテクチャ設計 → コスト見積もり → IaC 生成 → デプロイまでを一貫して実行できる「AWS ドメイン能力層」を追加するもの。

従来: 開発者が AWS ドキュメントを読み → 設計を考え → CDK/CFn を書き → デプロイ
今後: 「deploy to AWS」と言うだけ → AI が全工程を実行（人間は確認・承認のみ）

Agent Plugin とは何か

プラグインの構成要素

Agent Plugin は4つの部品を1つのパッケージにまとめたもの。

# CloudFront → ALB → Django 構成で API レスポンスの URL スキームが http:// になる問題と解決策

Tue, 24 Feb 2026 00:00:00 +0000

CloudFront → ALB → Django 構成で API レスポンスの URL スキームが http:// になる問題と解決策

はじめに

AWS の CloudFront + ALB + ECS Fargate で Django REST Framework (DRF) の API サーバーを運用していたところ、API レスポンスに含まれる URL が http:// で返されるという問題に遭遇しました。本記事では原因の調査過程と、最終的な解決策を紹介します。

構成

Client (HTTPS)
↓
CloudFront (SSL終端, us-east-1)
↓ HTTP
ALB (HTTP:80のみ受付, ap-northeast-1)
↓ HTTP
ECS Fargate (Gunicorn + Uvicorn, port 9000)
↓
Django REST Framework

CloudFront がSSLを終端し、ALB へは HTTP で転送する構成です。

問題

DRF の API ルート (/api/rest/) にアクセスすると、レスポンスに含まれる URL がすべて http:// になっていました。

AWS RedShift

Tue, 28 Jan 2025 00:00:00 +0000

CDC

AWS環境で実現するには、主に以下の2つの方法が主流です。

AWS DMS (Database Migration Service) の利用 (実績が豊富で柔軟性が高い)
Amazon RDS ゼロ ETL 統合 (最もシンプルで最新の選択肢)

それぞれの構成と特徴を詳しく解説します。

1. AWS DMS (Database Migration Service) を利用した構成

AWS DMSは、データベース間のデータ移行や継続的なレプリケーション（CDC）を行うための専用サービスです。

構成の概要

RDS for MySQLの設定:
- MySQLの**バイナリログ（Binlog）**を有効にし、フォーマットをROWに設定します。DMSはこれを読み取って変更を追跡します。（CDCの必須設定）
AWS DMS コンポーネント:
- レプリケーションインスタンス: データ移行（レプリケーション）を実行する専用のEC2インスタンスです。ソースとターゲットの間でデータを読み書きし、マッピングや変換を行います。
- ソースエンドポイント: RDS for MySQLへの接続情報を定義します。
- ターゲットエンドポイント: Amazon Redshiftへの接続情報を定義します。
- 移行タスク: CDC（継続的レプリケーション）を定義するコア設定です。どのテーブルを移行するか、フルロード後にCDCを継続するかなどを指定します。
データフロー:
- RDS for MySQLで変更（UPDATE/INSERT/DELETE）が発生すると、その変更がBinlogに記録されます。
- DMSのレプリケーションインスタンスがBinlogを継続的に読み取ります。
- DMSは変更データをRedshiftに適した形式に変換し、Redshiftクラスターに書き込みます（通常はS3経由でCOPYコマンドを使用）。

メリット・デメリット

項目	メリット	デメリット
柔軟性	非常に高く、多種多様なデータベースに対応。テーブルやスキーマのフィルタリング、データ変換（トランスフォーメーション）も可能。
コスト		レプリケーションインスタンスの料金が継続的に発生する。
運用		インスタンスの管理（サイズ選定、冗長性など）や、Binlogの保持期間の管理が必要。
安定性	実績が豊富で安定しているが、タスク設定やインスタンスサイズによってはチューニングが必要になる場合がある。

2. Amazon RDS ゼロ ETL 統合 (推奨)

これは、2023年以降に登場した新しい機能で、最もシンプルかつ管理負担の少ないCDCの方法です。現時点ではAurora MySQLからRedshiftへの統合が中心ですが、RDS for MySQLへの対応も進んでいます。

AWS: Device Farm

Mon, 09 Dec 2024 00:00:00 +0000

AWS Device Farm

AWS Device Farmは、実際のモバイルデバイスやデスクトップブラウザを使用してアプリケーションをテストするサービスです。以下のような仕組みで動作しています：

実機デバイスの使用:
- AWS Device Farmは、エミュレーターやシミュレーターではなく、実際のスマートフォンやタブレットを使用します。
- これにより、メモリ使用量、CPU負荷、位置情報、メーカーやキャリアによるファームウェアの違いなど、実際の使用環境に近い条件でテストが可能です 1 2。
リモートアクセス:
- 開発者はAWSのクラウド上にあるこれらの実機デバイスにリモートでアクセスし、アプリケーションをインストールしてテストを実行します。
- これにより、物理的なデバイスを手元に用意する必要がなくなります 1 2。
自動化と手動テスト:
- Device Farmは、AppiumやEspressoなどのオープンソースのテストフレームワークを使用して自動テストを実行できます。
- また、リモートアクセスを利用して手動でのテストも可能です 1 2。
テスト結果の収集と分析:
- テストの実行中に、動画、ログ、パフォーマンスデータなどが収集され、これらのデータを分析することで、アプリケーションの問題点を迅速に特定し、修正することができます 1 2。
スケーラビリティ:
- 複数のデバイスやブラウザで同時にテストを実行できるため、テストスイートの実行時間を短縮し、効率的にテストを進めることができます 1 2。

このように、AWS Device Farmは実際のデバイスを使用して、より現実に即したテスト環境を提供し、アプリケーションの品質向上を支援しています。

Grafana

Tue, 01 Oct 2024 00:00:00 +0000

Grafana

Grafanaでかっけぇダッシュボード作るよ！(構築・設定編)
ネットワークメトリクスを視覚化してみた（collectd + Graphite + Grafana）
- 収集：collectd - SNMPでルータからメトリクスを収集する
- 蓄積：Graphite - 収集したメトリクスを保存する
- 描画：Grafana - メトリクスを時系列で表示する

AWS

AWSの利用料金をGraphina（Grafana）を使って可視化する事例について、いくつかの方法があります。以下はその一例です。

事例: GrafanaでAWSのコストを可視化

請求メトリクスの取得:
- まず、AWS側で請求額のメトリクスを取得します。AWS Cost ExplorerやCloudWatchを使用して、必要なデータを収集します。
認証情報の作成:
- Grafanaで使用するためのIAMユーザーを作成し、必要なポリシー（例: CloudWatchReadOnlyAccess）をアタッチします。アクセスキーとシークレットキーを取得します。
データソースの設定:
- GrafanaのデータソースとしてCloudWatchを設定します。取得したアクセスキーとシークレットキーを使用して認証を行います。
ダッシュボードのインポート:
- Grafanaのダッシュボードテンプレートを使用して、AWSのコストを可視化するダッシュボードをインポートします。例えば、「AWS Billing Dashboard」というテンプレートを使用することができます¹。
カスタマイズ:
- インポートしたダッシュボードを自分のニーズに合わせてカスタマイズします。不要なデータを削除したり、必要な情報を追加したりします。

具体的な手順

IAMユーザーの作成:

1
2
3


aws iam create-user --user-name <username>
aws iam attach-user-policy --user-name <username> --policy-arn arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess
aws iam create-access-key --user-name <username>

Grafanaでの設定:
- Grafanaのメニューから「Connections > Data sources > Add new data source」を選択し、CloudWatchをデータソースとして追加します。
- IAMユーザーのアクセスキーとシークレットキーを入力し、リージョンを us-east-1 に設定します。
ダッシュボードのインポート:

AWS: ECS: Fargate: pidMode

Mon, 02 Sep 2024 00:00:00 +0000

AWS ECS Fargate: pidMode

AWS FargateのpidModeは、タスク内のコンテナ間でプロセスID（PID）名前空間を共有するための設定です。これにより、同じタスク内のコンテナが互いのプロセス情報にアクセスできるようになります¹²。

例えば、モニタリング用のサイドカーコンテナが、他のコンテナのプロセス情報を取得して監視することが可能になります。FargateではpidMode=taskのみがサポートされており、これを有効にすると、タスク内のすべてのコンテナが同じPID名前空間を共有します²。

この機能は、特にセキュリティや監視の観点から便利で、プロセスの監視やシステムコールのトラッキングが容易になります¹。

ソース: Copilot との会話、 2024/9/2 (1) 【アップデート】ECS on Fargateでサイドカーからプロセス …. https://dev.classmethod.jp/articles/ecs-on-fargate-support-shared-pid-namespace/. (2) AWS Fargate がプロセス ID 名前空間の共有とカーネルパラメータ …. https://aws.amazon.com/jp/about-aws/whats-new/2023/08/aws-fargate-pid-namespace-sharing-kernel-configuration/. (3) [ECS/Fargate] [request]: Support pidMode: task on Fargate #676. https://github.com/aws/containers-roadmap/issues/676. (4) 【アップデート】ECS on FargateがsystemControlsをサポートし …. https://dev.classmethod.jp/articles/ecs-on-fargate-support-systemcontrols/. (5) Amazon ECS on AWS Fargate - Datadog Infrastructure and …. https://docs.datadoghq.com/integrations/ecs_fargate/.

pidModeを指定しなくてもサイドカー構成を取ることは可能です。pidModeは、特定のユースケースでプロセスID名前空間を共有するためのオプションですが、サイドカーコンテナ自体は他の方法で連携できます。

例えば、サイドカーコンテナは以下のような方法で他のコンテナと連携します：

ネットワーク共有: 同じタスク内のコンテナはデフォルトで同じネットワーク名前空間を共有するため、互いに通信できます。
ボリューム共有: データを共有するために、同じボリュームをマウントすることができます。
環境変数や設定ファイル: コンテナ間で設定情報を共有するために使用できます。

これらの方法を組み合わせることで、pidModeを使用しなくても効果的なサイドカー構成を実現できます。

記事

メモ

Thu, 01 Aug 2024 00:00:00 +0000

メモ

Rye

Contentful : Organization は削除できない

管理者の最後のアカウントが削除されたら削除できる

AWS Secret Manager: 再作成

このエラーは、Secrets Manager がシークレットを直ちに削除せず、復旧期間（通常 7 日間）を設けているために発生します。この期間中は同じ名前のシークレットを再作成することができません ¹。

ただし、AWS CLI を使用して、復旧期間を設けずにシークレットを完全に削除することが可能です。以下の手順を試してみてください：

削除予定のシークレット ID を取得:
- AWS Secrets Manager コンソールを開きます。
- ナビゲーションペインで「Secrets」を選択します。
- 「設定」アイコンを選択し、「詳細設定」で「削除予定のシークレットを表示」を選択します。
- 「Secrets」ペインで、削除予定のシークレットの ID を確認します。
AWS CLI を使用してシークレットを完全に削除:
- 以下のコマンドを実行します（your-secret-nameをシークレット ID または ARN に、your-regionを AWS リージョンに置き換えてください）:
  1
  
  aws secretsmanager delete-secret --secret-id your-secret-name --force-delete-without-recovery --region your-region
削除が完了したことを確認:
- 以下のコマンドを実行して、シークレットが完全に削除されたことを確認します:
  1
  
  aws secretsmanager describe-secret --secret-id your-secret-name --region your-region
- 「Secrets Manager can’t find the specified secret」というエラーが表示されれば、シークレットは正常に削除されています。

これで、同じ名前のシークレットを再作成できるようになります ¹。

JWT in AWS Lambda

Tue, 18 Jun 2024 00:00:00 +0000

JWT in AWS Lambda

API Gateway-

Lambda コンテナ

Sorry Page

Tue, 11 Jun 2024 00:00:00 +0000

Sorry Page 運用

CloudFront オリジンフェイルオーバー

CloudFront のオリジンフェイルオーバーでオリジンとの接続タイムアウトやオリジン側で発生したエラーコード（5XX 系）をセカンダリのオリジン（ソーリーページ）へ自動的に遷移させます。
CloudFront でオリジン障害時に Sorry ページを表示したい

エラーページ作成(SSG)

Peclican でファイル名をスラグ化させない:

pelicanconf.py:

1
2


PATH_METADATA = r"(?P<path_no_ext>.*)\..*"
ARTICLE_URL = ARTICLE_SAVE_AS = PAGE_URL = PAGE_SAVE_AS = "{path_no_ext}.html"

AWS: Billing

Mon, 08 Apr 2024 00:00:00 +0000

AWS: Billing

AWS: Pinpoint

Mon, 04 Mar 2024 00:00:00 +0000

AWS Pinpoint

Amazon Pinpoint を AWS エキスパートが解説 😎 AWS でマーケティングを簡単・手早く効率化させましょう 🚀

Push:

SMS:

Amazon Pinpoint を使った SMS 送信をおこなってみた
Amazon SNS や Amazon Pinpoint からのモバイルテキストメッセージ (SMS) にかかる料金が予想よりも高くなるのはなぜですか?
Send transactional SMS via Amazon PinPoint

Notification:

通知

FCM:

Firebase Cloud Messaging

SNS:

AWS Connect

Thu, 15 Feb 2024 00:00:00 +0000

AWS Connect

Amazon Connect の使い方[丁寧に解説してみた]

AWS Pinpoint

Amazon Lex

Amazon Kendra

https://aws.amazon.com/jp/kendra/features/

その他

AWS.EventBridge: 自動停止/起動

Thu, 15 Feb 2024 00:00:00 +0000

AWS: EventBrdige

AWS: Kendra

Tue, 13 Feb 2024 00:00:00 +0000

AWS: Kendra

Video:

AWS: Bedrock: GenAI

Tue, 06 Feb 2024 00:00:00 +0000

AWS: Bedrock: GenAI

Amazon Bedrock とは【速報】AWS の生成 AI サービスである Amazon Bedrock がリリースされたので朝イチで触ってみた Amazon Bedrock “Claude 2” と、ChatGPT “GPT-4” を比較してみる AWS による生成 AI の新サービス「Amazon Bedrock」の可能性を考察する Amazon Bedrock でモデルごとに画像を生成してみた Bedrock のはじめかた Amazon Bedrock の導入効果をレビューでご紹介（KDDI アジャイル開発センター株式会社-みのるん） Build generative AI chatbots using prompt engineering with Amazon Redshift and Amazon Bedrock GPT 連携アプリ開発時の必須知識、RAG をゼロから解説する。概要＆Python コード例 Amazon Bedrock の Knowledge base で簡単に RAG を構築

Github:

API:

Boto3: https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/bedrock.html

モデル

Titan FMs
Claude 2
Jurassic-2 (Python SDK)
Stable Diffusion

Claude 2

Jurassi-2

日本語対応していない
AWS の"推しの AI" 「Jurassic-2」を使ってみた！！Bedrock ローンチ前に使えるんやん！

AWS: Glue: ETL

Mon, 05 Feb 2024 00:00:00 +0000

Glue

AWS Glue の概要
ETL(抽出、変換、ロード) パイプラインを視覚的に作成/実行

AWS データサービス連携:

Athena: S3 上のデータに対して、クエリ（SQL）を利用してデータの分析を行うことができるサービス
EMR:(Elastic MapReduce): Hadoop, Spart の実行
Redshift Spectrum(スペクトル): ReadShift から S3 をクエリ

主要機能

データの検出と整理
- 複数のデータストアを統合して検索
- データを自動的に検出
- スキーマとアクセス許可を管理
- さまざまなデータソースに接続
分析用データの変換、準備、クリーニング
- データを視覚的に変換
- シンプルなジョブスケジューリングで複雑な ETL パイプラインを構築
- 転送中のストリーミングデータのクリーニングと変換
- 組み込みの機械学習によるデータの重複排除とクリーニング(FindMatch)
- 組み込みのジョブノートブック
- ETL コードの編集、デバッグ、テスト
- 機密データの定義、検出、修正
データパイプラインの構築とモニタリング
- 自動スケーリング(ワークロードに基づく)
- ジョブ自動化(イベントトリガー)
- ジョブの実行とモニタリング(Spark, Ray, CloudTail)
- ETL と統合アクティビティのワークフローを定義

コンポーネント

コンソール
Data Catalog
クローラおよび分類子
ETL オペレーション
ストリーミング ETL
ジョブシステム
ビジュアル ETL コンポーネント

ジョブ実行エンジン

Spark (AWS Glue ETL)

PySpark Overview

Ray (AWS Glue for Ray)

AWS: SES

Wed, 31 Jan 2024 00:00:00 +0000

AWS: SES: スパム

In a move to safeguard user inboxes, Gmail [1] and Yahoo Mail [2] announced a new set of requirements for senders. Effective February 2024, the new requirements affect email senders who distribute over 5,000 bulk messages per day or have >0.3% of messages reported as spam. Failure to comply with new requirements may result in Gmail and Yahoo rejecting message delivery to their customers.

Your account has at least one email address identity sending email without a matching verified domain identity. This may result in reduced ability to send to some email recipients.

Windows: クラウド利用

Mon, 15 Jan 2024 00:00:00 +0000

Windows クラウド利用

「Azure は AWS より安い」は本当か

Windows Server と SQL Server 向けでは、AWS は Azure と比べて 5 倍のコストがかかります

ECS: aws-cli

Sun, 07 Jan 2024 00:00:00 +0000

ECS: aws-cli

curl, unzip は入っていること

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42


ARG BASE_IMAGE=myimage-cicd-appbase
ARG TAG=latest

FROM ${BASE_IMAGE}:${TAG} as server

ARG USERNAME=ubuntu
ARG GROUPNAME=ubuntu
ARG PASSWORD=ubuntu
ARG UID=1000
ARG GID=1000

ENV APP_BASE=/usr/src/app \
 LIB_BASE=/usr/src/lib \
 POETRY_VERSION=1.0.10 \
 PATH="/root/.poetry/bin:$PATH"

RUN mkdir -p /var/run/gunicorn && mkdir -p /storage
RUN apt-get update && apt-get install -y sudo

RUN groupadd -g ${GID} ${GROUPNAME} && \
 useradd -m -s /bin/bash -u ${UID} -g ${GID} -G sudo ${USERNAME} --home-dir ${APP_BASE} && \
 echo ${USERNAME}:${PASSWORD} | chpasswd && \
 echo "${USERNAME} ALL=(ALL) NOPASSWD:ALL" >> /etc/sudoers

# aws-cli
RUN curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
RUN unzip awscliv2.zip
RUN sudo ./aws/install

# Application
COPY . ${APP_BASE}
WORKDIR ${APP_BASE}

RUN pip install pip poetry urllib3==1.26.15 -U && \
 poetry config virtualenvs.create false && \
 poetry install && pip install urllib3==1.26.15 pyOpenSSL -U

RUN chown -R ${USERNAME}:${GROUPNAME} ${APP_BASE}
RUN chmod 777 /run/gunicorn
USER ${USERNAME}

CMD ["/usr/src/app/docker/codebuild/entry_web.sh", "/usr/src/app"]

AWS: EFS: バックアップ

Fri, 05 Jan 2024 00:00:00 +0000

EFS バックアップ

AWS Backup

https://github.com/hdknr/awsform/blob/main/terraform/modules/backups/main.tf

AWS DataSync

AWS DataSync を使って S3 から EFS へデータを転送する！

MySQL: CDC

Thu, 28 Dec 2023 00:00:00 +0000

MySQL: CDC(Change Data Capture)

RDS MySQL

AWS DMS のソースとして AWS が管理する MySQL 互換データベースの使用
- バイナリログ(binlog_format == ROW)
- binlog_row_image == Full
- binlog_checksum == NONE

DMS

サーバーレス:

AWS RDS EBSByteBalance%

Tue, 25 Jul 2023 00:00:00 +0000

EBSByteBalance%

AWS:

EBS 最適化 RDS インスタンスクラスを使用している場合は、CloudWatch のグラフを使用して IOPS またはスループットのスロットリングがないかを確認します。
バーストキャパシティを備えたインスタンスクラスの場合は、CloudWatch のグラフで EBSIOBalance% および EBSByteBalance% のメトリクスを表示します。
EBSIOBalance% または EBSByteBalance% の常に低い値は、インスタンスレベルで IOPS またはスループットのボトルネックが発生していることを示唆しています。

資料

Amazon RDS インスタンスの IOPS のボトルネックによって引き起こされた Amazon EBS ボリュームのレイテンシーをトラブルシューティングするにはどうすればよいですか?

Google Cloud Run

Sun, 16 Jul 2023 00:00:00 +0000

Google Cloud Run

AWS App Runner

https://aws.amazon.com/jp/apprunner/

Managed k8s

Sun, 16 Jul 2023 00:00:00 +0000

Managed k8s

Provider	Service Product
AWS	EKS(Elastic Kubernetes Service)
GCP	GKE(Google Kubernetes Engine)
Azure	AKS(Azure Kubernetes Service)

マネージド Kubernetes とは？EKS・AKS・GKE を比較

AWS EKS vs. ECS

AWS 自身が考える ECS と EKS の役割

EKS:

EKS : 他のプロバイダー/オンプレミスからの移行

ECS:

Kubernetes に比べてはるかに運用がしやすく、低コストで、マルチテナントのプラットフォームとしての効率が非常に高い
クラスターの起動を無料で行うことができます

Celery AWS ECS

Thu, 13 Jul 2023 00:00:00 +0000

Celery on ECS

Redis

Celery + AWS Redis で使ってみる

クラスターモード

Redis >= 3.2
ElastiCache for Redis のクラスターモードについて調べてみる

SQS

broker としてつかえるが、 backend としては使えない(SQS + RabbitMQ/Redis/SQLAlchemy を考える)
Celery + SQS on Django on Elastic Beanstalk
Deploying Django on AWS: Setting up Celery and SQS
Deploying Django Application on AWS with Terraform. Setting up Celery and SQS

ECS

Celery Logging

標準出力:

EC2 mount EFS

Wed, 12 Jul 2023 00:00:00 +0000

AWS EC2 moutn EFS

E2 からマウント

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


#!/bin/bash
EFS_ID="fs-0f90bd97a364a6e94"
#
PKG=amazon-efs-utils
RES=$(dpkg --get-selections | grep $PKG)
MOUNT_PATH="/efs"

if [ -z "${RES}" ]; then
 apt update && apt upgrade -y && apt autoremove -y
 apt-get -y install binutils
 git clone https://github.com/aws/efs-utils
 cd efs-utils
 ./build-deb.sh
 apt-get install -y ./build/amazon-efs-utils*deb
fi
#
if [ ! -d $MOUNT_PATH ]; then
 mkdir $MOUNT_PATH
fi
#
mount -t efs $EFS_ID:/ $MOUNT_PATH

Cloud Function defautl pages

Mon, 26 Jun 2023 00:00:00 +0000

AWS CloudFuntion URL 変更

AWS CloudFront Functions を使用して、ブラウザリクエストの URL を書き換えてオリジンに送信するには、HTTP リクエストを別の URL にリダイレクトする関数を作成する必要があります。 AWS ドキュメントには、CloudFront Functions を使用して HTTP リクエストを別の URL にリダイレクトする方法が記載されています ¹。

また、Classmethod 社の記事には、CloudFront Functions でオリジンに手を加えずに URL リダイレクトを行う方法が記載されています ³。

ご参考までに、以下は CloudFront Functions で HTTP リクエストを別の URL にリダイレクトする例です ²。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24


function handler(event) {
 var request = event.request;
 var headers = request.headers;
 var uri = request.uri;
 var host = headers.host.value;
 var newurl = null;

 // Check the URI is '/abc/sign-up'.
 if (uri === "/abc/sign-up") {
 newurl = `https://${host}/sign-up`;
 }

 if (newurl !== null) {
 return {
 statusCode: 301,
 statusDescription: "Moved Permanently",
 headers: {
 location: { value: newurl },
 },
 };
 }

 return request;
}

この例では、URI が/abc/sign-upに一致した場合に、https://${host}/sign-upへリダイレクトしています。この例を参考に、ご自身の環境に合わせた関数を作成してください。

AWS Windows

Tue, 20 Jun 2023 00:00:00 +0000

AWS EC2 Windows

AWS SES Logging

Wed, 17 May 2023 00:00:00 +0000

AWS SES ロギング

Terrafrom + Firefose

Firehoseを使用してSESのログをS3バケットに記録するには、Terraformで以下のように記述することができます。

resource "aws_s3_bucket" "log_bucket" {
bucket = "log-bucket"
}
resource "aws_ses_domain_identity" "example" {
domain = "example.com"
}
resource "aws_ses_domain_identity_verification" "example" {
domain = aws_ses_domain_identity.example.domain
}
resource "aws_ses_configuration_set" "example" {
name = "example"
}
resource "aws_ses_event_destination" "example" {
configuration_set_name = aws_ses_configuration_set.example.name
name = "example"
enabled = true
kinesis_firehose_destination {
role_arn = aws_iam_role.firehose_role.arn
delivery_stream_arn = aws_kinesis_firehose_delivery_stream.firehose.arn
}
matching_types = [
"send",
"reject",
"bounce",
"complaint",
"delivery",
"open",
"click",
]
}

このコードでは、S3バケットを作成し、SESドメイン識別子を作成し、検証し、構成セットを作成し、イベント宛先を作成しています。

AWS Connect CCP

Mon, 08 May 2023 00:00:00 +0000

AWS Connect: CCP(Contact Control Panel)

Contact Control Panel とは、Amazon Connect 問い合わせコントロールパネル (CCP) を使用して問い合わせと通信するための GUI の機能です ²。エージェントが CCP にアクセスし、問い合わせを処理できるようになる前に、行わなければならない操作がいくつかあります ³。

ご参考になれば幸いです。

ソース: Bing との会話 2023/5/8

(1) 問い合わせコントロールパネルへのアクセスを提供する - Amazon …. https://docs.aws.amazon.com/ja_jp/connect/latest/adminguide/amazon-connect-contact-control-panel.html.
(2) Provide access to the Contact Control Panel - Amazon Connect. https://docs.aws.amazon.com/connect/latest/adminguide/amazon-connect-contact-control-panel.html.
(3) 【Amazon Connect】在宅コールセンター向けに CCP（発着信 …. https://qiita.com/duplicate1984/items/3a4d93a2e9bb5fcf54d1.

資料:

Amazon Connect とは？導入前に知っておきたい機能・料金・注意点と事例

Google ログイン

AWS Connect に Google ユーザーを紐付けることは可能です。ただし、紐付ける前に、AWS Cognito 単体で、ユーザ ID のサインアップ（ユーザ登録）・サインイン（ログイン）ができるようにする必要があります ³。

また、外部で認証されたユーザー（ID フェデレーション）へのアクセス権限を付与することもできます ¹。

ご参考になれば幸いです。

ソース: Bing との会話 2023/5/8

AWS CodeWhisperer & IAM Identity Center

Sat, 15 Apr 2023 00:00:00 +0000

AWS CodeWhisperer & IAM Identity Center

CodeWhisperer

IAM Identity Center:

IAM Identity Centerを有効にする
ユーザーを追加する
ユーザーのメアド認証
パスワードリセットをメアドに送り、パスワード設定してログイン可能にする

CodeWhisperer:

Codewhiper の利用を開始する
CodeWhispererを IAM Identity Centerのアプリケーションに登録する
IAM Identity Centerで登録したユーザーを CodeWhispererで使えるようにする

VSCode:

AWS Toolkit プラグインを入れる
CodeWhisperer の利用を開始:Connect using AWS Identity Center で
AWS Identity Center URLを入力 (https://x-xxxxxxx.awsapps.com/start)
AWS Toolkitにアクセストークンを取得( 認証コードをブラウザに入力して、IAM Identity Centerにログイン)

資料

AWS: ECS

Fri, 04 Jun 2021 00:00:00 +0000

ECS オートスケーリング

記事

Terraform の設定

オートスケーリングの設定をTerraformで記述する例を以下に示します。この例では、CPU使用率に基づいてECS Fargateサービスのタスク数を自動的にスケーリングするように設定します。

必要なリソース

TerraformでECSサービスのオートスケーリングを設定するには、以下のリソースを定義します。

aws_appautoscaling_target: スケーリングの対象となるECSサービスとタスク数を指定します。
aws_appautoscaling_policy: 実際のスケーリングロジック（CPU使用率、目標値など）を定義します。
aws_cloudwatch_metric_alarm: (オプション) 詳細な条件でスケーリングを制御する場合に使用します。ターゲット追跡スケーリングポリシーは内部でこれを生成するため、通常は明示的に定義する必要はありません。

Terraform コード例

以下のコードブロックは、aws_ecs_serviceリソースで定義されたECSサービスに対して、CPU使用率が50%になるようにタスク数を調整するオートスケーリング設定の例です。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33


# ECSサービスを定義 (この例では、既存サービスを想定)
# resource "aws_ecs_service" "main" {
# name = "my-ecs-service"
# ...
# }

# 1. オートスケーリングの対象を定義
resource "aws_appautoscaling_target" "ecs_target" {
 service_namespace = "ecs"
 resource_id = "service/my-cluster/my-ecs-service" # サービス名に合わせて変更
 scalable_dimension = "ecs:service:DesiredCount"
 min_capacity = 1 # 最小タスク数
 max_capacity = 10 # 最大タスク数
}

# 2. ターゲット追跡スケーリングポリシーを定義
resource "aws_appautoscaling_policy" "cpu_scaling_policy" {
 name = "cpu-utilization-scaling-policy"
 service_namespace = "ecs"
 resource_id = aws_appautoscaling_target.ecs_target.resource_id
 scalable_dimension = aws_appautoscaling_target.ecs_target.scalable_dimension
 policy_type = "TargetTrackingScaling"

 target_tracking_scaling_policy_configuration {
 predefined_metric_specification {
 predefined_metric_type = "ECSServiceAverageCPUUtilization"
 }

 target_value = 50.0 # CPU使用率の目標値（%）
 scale_in_cooldown = 300 # スケールイン（タスク減少）のクールダウン期間（秒）
 scale_out_cooldown = 60 # スケールアウト（タスク増加）のクールダウン期間（秒）
 }
}

コードの解説

aws_appautoscaling_target: